???? 博主 libin9iOak帶您 Go to New World.???
?? 個人主頁——libin9iOak的博客??
?? 《面試題大全》 文章圖文并茂??生動形象??簡單易學！歡迎大家來踩踩~??
?? 《IDEA開發(fā)秘籍》學會IDEA常用操作，工作效率翻倍~??
???? 希望本文能夠給您帶來一定的幫助??文章粗淺，敬請批評指正！????

第八章 操作系統(tǒng)安全基礎(chǔ)

8.1 訪問控制基本概念和模型

下面我們來學習訪問控制。首先來學習防控制的基本概念和模型，訪問控制是網(wǎng)絡安全防護的主要策略之一，防控制是依據(jù)授權(quán)規(guī)則對提出的資源訪問加以控制，它限制訪問主體，包括用戶以及代表用戶的進程服務等，對任何資源，包括計算資源，通信資源和信息資源進行未授權(quán)的訪問，使計算機系統(tǒng)在合法范圍內(nèi)使用。一方面防止非法用戶使用資源，另外一方面還要防止合法用戶濫用權(quán)限，它具體就是決定一個用戶能夠在系統(tǒng)當中做什么，或者代表用戶的程序能夠做什么。

我們來看一下訪問控制與其他安全措施的關(guān)系。用戶首先會經(jīng)過安全管理員對他進行授權(quán)，建立他的授權(quán)關(guān)系，然后當用戶在登錄系統(tǒng)的時候，先對它進行認證，確認他的身份之后，通過引用監(jiān)視器去獲取他的授權(quán)，然后這個是訪問控制，就根據(jù)用戶的授權(quán)去確定用戶是否能夠訪問他想要訪問的目標。

在這個過程當中，系統(tǒng)會對用戶的所有的行為進行審計。

我們再來看訪問控制的組成，訪問控制有三個主要的要素，一個是主體，第二個就是客體，然后是訪問控制策略，然后就是安全訪問策略。形式化描述可以描述成一個三元函數(shù)，f(s,a,o)s代表主體，o代表客體，而安全訪問策略就是o。

我們訪問控制的模型如圖所示，包括了主體客體，訪問控制、實施功能和訪問控制決策功能。主體首先向訪問控制實施功能提交一個訪問的請求，然后訪問控制實施功能，像防控制決策功能，請請求決策，訪問控制實施功能，像訪問控制決策功能，發(fā)起一個請求決策，然后由這個防控制決策功能下發(fā)決策給訪問控制實施功能。這個決策就是依據(jù)用戶授權(quán)來進行決策，然后這個時候如果這個請求是被允許的，訪問控制實時功能，就把這個用訪問控制實施功能，就把這個主體的這個訪問請求再發(fā)送到客體，然后讓用戶然后讓主體去訪問客體。

8.2 訪問控制的實現(xiàn)機制和方法

接下來我們來學習防控制的一般實現(xiàn)機制和方法。

防控制的一般實現(xiàn)機制主要有兩大類，一類是基于防控的屬性的，也就是為主體或者客體，然后通過它的屬性去進行控制，包括訪問控制表、訪問能力表，訪問控制、矩陣，然后另外一類就是對主體和客體，也就是用戶和資源，我們?nèi)ソo他貼安全的標簽，其實就是進行一個分級，然后形成這種多級的訪問控制。常見的實現(xiàn)方法主要就包括訪問控制表、訪問能力表、訪問控制矩陣、授權(quán)關(guān)系和訪問控制的安全標簽，還有一些其他的安全機制。

訪問控制表就是為系統(tǒng)當中每一個客體附加一個可以訪問它的主體的明細表，如下圖所示，比如有一個客體，有一個資源叫做object1，這個時候系統(tǒng)當中有三個用戶可以對他進行訪問，而且具有不同的訪問控制權(quán)限，這個時候就可以用一個類似鏈表的形式，把這三個用戶以及他們具體的權(quán)限串聯(lián)起來，構(gòu)成一個訪問控制表。每一個表象代表當前這個用戶可以對這個客體進行訪問以及具體的訪問控制權(quán)限。比如user a它就可以對這個客體進行訪問，具有這個擁有權(quán)，讀權(quán)限和寫權(quán)限，而user B就只有這個讀權(quán)限，而這個user c有這個讀寫權(quán)限。這種訪問控制方法在現(xiàn)在的操作系統(tǒng)當中也是在使用的，比如window系統(tǒng)當中，如果大家選擇一個文件，然后去點擊右鍵查看它的屬性的話，再來選擇這個安全這個標簽，可以看到上下兩個窗口，上面這個窗口就代表當前這個文件他被授權(quán)給了哪些組和用戶，然后下面這個窗口就代表了某一個授權(quán)的組和用戶，它具體的權(quán)限是什么。另外還可以通過這個頁面上面的編輯高級等等按鈕，對這個授權(quán)的這個權(quán)限進行相應的修改。

接下來就是訪問能力表，訪問能力表就是從主體的視角出發(fā)，為系統(tǒng)當中每一個主體附加一個該主體可以訪問的客體的明細表，如下圖所示，如果系統(tǒng)當中有這個用戶USer，他可以訪問三個客體，三個資源，分別是object一，object2和object3，這樣的話，就構(gòu)成了這樣一個鏈表形式的訪問能力表，每個表項就代表當前這個主體可以訪問一個這個客體以及具體的訪問權(quán)限是什么。

接下來我們再來看訪問控制矩陣，訪問控制矩陣是用一個矩陣，去管理系統(tǒng)當中所有的主體對系統(tǒng)當中所有的客體，他的訪問授權(quán)關(guān)系。其中這個矩陣當中的每一個單元格代表了當前這個單元格所對應的主體，對對應的客體的這個訪問權(quán)限，比如說這個舉證當中的第二行，第二列的這個單元格，就代表了第二行的這個用戶Alice對這個第二列的這個客體文件。二他的訪問權(quán)限，包括了擁有權(quán)，讀和寫的權(quán)限。這個訪問控制矩陣，如果從列的角度來看的話，實際上它就是一個訪問控制表，就代表了這個系統(tǒng)當中這一列對應的客體，它的訪問控制表，哪些用戶可以對他進行訪問，怎么樣去訪問？如果從行的角度去看訪問控制矩陣的話，它實際上就是一個用戶的訪問能力表，比如說第二行，就是這個用戶Alice他的訪問能力表，他可以訪問哪些客體，具有什么樣的權(quán)限。

我們再來看授權(quán)關(guān)系表，授權(quán)關(guān)系表是把系統(tǒng)當中所有的主體，然后能夠訪問的客體以及這個訪問的權(quán)限，用一個三列的表格把它一一的羅列出來。然后這個授權(quán)關(guān)系表，如果從客體的角度來進行排序的話，就可以構(gòu)成訪問控制表，把系統(tǒng)當中所有的這個嗯客體，它的訪問控制表實際上串聯(lián)起來，如果按照主體來排序的話，我們就可以得到一個所有用戶他的能力表。

我們再來看訪問控制的安全標簽，訪問控制的安全標簽就是對系統(tǒng)當中所有的用戶，主體以及所有的客體，然后從某一個角度對它進行一個安全的分級，比如從用戶的角度，我們通常可以分成絕密的、機密的、秘密的、未涉密的等等若干個級別客體，也可以把它分成這樣一些級別，然后對主體和客體分級之后，就可以按照主體客體他們之間的安全級別來確定這個主體能否去訪問客體，以及以什么樣的方式去訪問它。

接下來我們再來看鎖和鑰匙，這里的鎖和鑰匙實際上就代表加密和解密，采用這樣一種方式進行訪問控制的時候，我們就對客體資源，用一個密鑰對它進行加密，就把它控制起來了。當要授權(quán)的時候，我們把這個對應的解密密鑰授予我們這個有權(quán)訪問的主體，就完成了授權(quán)。

這種訪問控制的實現(xiàn)方法，同時具有訪問控制表和能力表的特征，這個客體它的密鑰被授予了哪些主體，這樣就構(gòu)成了一個訪問控制表。而從主體的角度，主體擁有了哪些客體的密鑰，就構(gòu)成了訪問能力表，這個主體手里的密鑰實際上就體現(xiàn)了他的訪問能力，這種機制它具有動態(tài)性，可以動態(tài)的給客體進行加密，用密鑰對它進行加密，然后同時也可以動態(tài)的把這個客體的解密密鑰授予主體。

8.3 訪問控制的一般策略

接下來我們來學習訪問控制的一般策略。

防控制的一般策略主要分為三種，自主防控策略，強制防控策略和基于角色的防控策略。

8.3.1 自主防控策略

首先來看自主訪問控制策略，自主訪問控制策略DAC。這種策略是客體的屬主，也就是擁有者，他可以自主的管理對客體的訪問控制權(quán)限，這個屬主他可以自主的負責賦予或者收回其他主體對客體資源的訪問權(quán)，而得到授權(quán)的主體，它可以直接或者間接的向其他主體轉(zhuǎn)讓這個訪問權(quán)限。

這種策略被一些操作系統(tǒng)所使用，比如說Linux操作系統(tǒng)，我們可以用ls -l這樣一個命令去查看一個文件它的完整屬性。我們就可以看到這個文件在系統(tǒng)當中它的授權(quán)情況，

這個授權(quán)通常分成了三段，如這個事例當中所示，第一段就是屬主就是擁有者對這個文件的權(quán)限。第二段就是擁有者所在的主其他的成員對這個文件的權(quán)限。剩下第三段就是其他用戶對這個文件的權(quán)限，這個權(quán)限通常是三種這個r，wx。如何體現(xiàn)這個自主，Linux系統(tǒng)當中提供了兩條命令，section、mode、Seto，這個chmod,chown，也就是說親也就是說這兩條命令分別可以改變授權(quán)關(guān)系，改變這個文件資源的這個所有權(quán)，只要是授權(quán)的主體或者是這個資源，它的屬主就可以通過這兩條命令去自主的去轉(zhuǎn)讓，去改變這個客體的訪問權(quán)限。

自主訪問控制它具有如下的特點以及缺點，一個就是可以根據(jù)主體的身份和權(quán)限來進行決策，然后授權(quán)主體可以自主的將某一個權(quán)限的某個子集授予其他的主體，。這種訪問控制的策略它靈活度比較高，所以被大量的采用。當然也是有缺點的，缺點就是訪問權(quán)限的關(guān)系，它是動態(tài)變化的，而且有時候是無法控制這個權(quán)限的流動。比如說日常生活當中，某一個小朋友或者某一個同學有一本這個圖書，然后在班里邊流傳，這個擁有者這個某個同學把這個書首先可能借給他的好友來借閱，好友拿拿到，這個這個他的好友拿到這個書之后，如果他看完了，那他又可以根據(jù)他的朋友關(guān)系，再把這個書又轉(zhuǎn)借給其他同學，然后如此一直持續(xù)下去的話，這個書最終到了誰的手里面，最初的這個擁有者他都可能沒法知道和掌控的。

8.3.2 強制訪問控制策略

接下來我們再來介紹強制訪問控制策略。

這種策略是為系統(tǒng)當中的每一個主體和客體分配一個固定的安全級別，這個級別只有系統(tǒng)管理員可以修改，從用戶的角度可以是可信任的級別，而從信息的角度，從客體的角度就是敏感程度，通?？梢苑譃榻^密的、機密的、秘密，無密等等這樣一些級別，這個就是基于前面的這個安全標簽，依據(jù)主體和客體的安全級別，來決定是否主體可以去訪問客體，這種策略多用一些安全級別比較高的軍事應用當中，

比如說下面我們這個事例，系統(tǒng)當中有一個用戶，Kevin它的安全級別是機密，他要訪問新聞當中兩個文件，一個文件是導彈計劃，安全級別是高密，另外一個這個文件是電話本，安全級別是秘密，這個時候由于用戶的這個安全級別是機密，是高于電話本的，它訪問這個電話本就是被允許的，由于用戶級別是低于這個導彈計劃這個文件的級別的，所以這個訪問就被拒絕了。

強制訪問控制，依據(jù)主體和客體的安全級別，可以有4種訪問方式，分別是下讀、上寫、上讀、下寫，其中這個讀寫代表了信息流動的方向，其實主要是這個寫，寫實際上就是推送信息，這個讀寫實際上就類似于生產(chǎn)者和消費者，寫信息實際上就是產(chǎn)生了信息，而讀信息實際上是對這個信息進行消費去讀取它。

我們首先來看下讀上寫，下讀就是向下讀，就是主體，它的級別高于客體的時候，就允許主體去讀這個客體的信息，然后反過來就是第一級別的用戶或者主體，它不能去讀高敏感度的信息。

再來看上寫向上寫，就是主體低于客體的時候，你可以去寫入信息，反過來當主體高于客體的時候就不允許寫，也就是不允許高敏感度的信息寫入到低敏感度的區(qū)域當中。

這個下讀和上寫這兩種訪問方式進行結(jié)合，就可以保證數(shù)據(jù)的機密性。也就是說數(shù)據(jù)信息流只能從低級別流向高級別，反過來則不行，生活當中也有這樣的場景，比如說下級向上級匯報工作的情況，或者是電子投票，這些都可以保證數(shù)據(jù)的機密性。

我們再來看上讀和下寫這兩種模式的結(jié)合，上讀就向上讀，就是主體低于客體的時候，是允許他去讀取的，去訪問的，這個時候這個低級別的用戶就能夠去讀高敏感度的信息。再來看向下寫就是主體它的級別高于客體的時候就允許他去寫，這個時候就允許高敏感度的信息寫入到低敏感度的區(qū)域，這兩種模式的結(jié)合就可以保證數(shù)據(jù)的完整性，數(shù)據(jù)可以從高級別流向這個低級別，這個時候生活當中的場景就類似于上級向下級下發(fā)文件，下發(fā)一些精神。另外的web資訊有專門的這個新聞機構(gòu)，然后發(fā)布這個信息，從這個這些新聞實訓從這個高級別流向了低級別的用戶。

我們再來看常見的強制訪問控制模型，通過對剛才訪問方式的組合，就可以產(chǎn)生一些具體的強制訪問控制模型，使用這個下讀上寫就可以構(gòu)建這個 blp模型，然后反過來上讀和下寫就可以構(gòu)建這個 bible模型。

我們首先來看這個 blp模型，基于這個下讀和上寫，反過來就是不上讀不下寫，這個模型就可以保證機密性，就是主體，當它的級別是高于客體的時候，就允許他去讀取信息，當他的級別是低于客體的時候，就允許他去寫入信息。像這張圖當中的示例，一個用戶他的級別是高密的，這個時候他就可以去讀取一個秘密級別的這個文件，當用戶的安全級別是秘密的時候，就允許他去寫出一個高密的這個文件。

Blp模型它的典型應用就是防火墻。防火墻位于網(wǎng)絡的邊界，通常把網(wǎng)絡分成了內(nèi)部網(wǎng)絡和外部網(wǎng)絡，也就是外部的internet，自然就形成了兩個不同的安全級別，內(nèi)部網(wǎng)絡要保護它的機密性，就可以假設(shè)設(shè)定它為機密這個級別，而外部的internet就是公開的，防火墻它就可以隔離內(nèi)部網(wǎng)絡，然后形成單向的訪問機制。利用這個 brp模型的下讀和上寫，這個下讀就是不上讀，防火墻在這兒的話，就可以阻止internet當中的用戶去訪問內(nèi)部網(wǎng)絡，僅允許由內(nèi)向外發(fā)起的數(shù)據(jù)通過，這個上寫反過來就是不下寫，不允許內(nèi)部網(wǎng)絡的敏感數(shù)據(jù)，然后流向internet。

我們再來看這個 biba模型，這個bad模型它是這個使用上讀和下寫這兩個組合，它保證完整性，就是當主體的級別是高于客體的時候，允許他去寫入信息。當主體的級別低于客體的時候，就允許他去讀取

bible模型的典型應用就是web服務器，，web服務器相對internet它的級別是高一些的，比如說設(shè)置為秘密級別，而internet是公開的公開級別，這個時候web模型它的上讀不上寫，就保證了web數(shù)據(jù)的完整性。也就是說internet上面的用戶只能去讀取web服務器上的數(shù)據(jù)，但是不能去改寫它，從而保證了web上面數(shù)據(jù)它的完整性。

這個強制訪問控制它的優(yōu)缺點，我們來簡單分析一下。強制訪問控制策略它的優(yōu)點是比較嚴格，便于控制和管理，特別適合軍事領(lǐng)域，缺點就是不夠靈活。當用戶和資源數(shù)比較多的時候，這個配置的工作量比較大，你需要對所有的用戶所有的資源都來設(shè)置相應的安全級別。

8.3.3 基于角色的訪問控制策略

接下來我們來看基于角色的訪問控制策略。

基于角色的訪問控制策略，是訪問控制與現(xiàn)代應用環(huán)境相結(jié)合的一個產(chǎn)物，它是起源于UNIX系統(tǒng)以及其他一些操作系統(tǒng)當中組的概念。我們首先來看一下組的策略，一組用戶對一個目標具有相同的訪問權(quán)限，就可以把它們放到一個組里面去。實際使用的時候，先定義組的成員，比如說若干個用戶，s1s2s3，我們讓他們構(gòu)成一個集合，然后再對這個集合進行授權(quán)，把一個具體的訪問權(quán)限分配給一個組，那這個時候這一主用戶都具有這個權(quán)限了，這個基于主的策略，主的成員是可以動態(tài)的改變的。

基于角色的訪問控制，就是在剛才基于主的策略之上，再來定義一個角色，什么是角色？就是一個用戶組以及它的許可的集合，什么是許可？就是完成一項任務必須訪問的資源以及相應的操作權(quán)限。比如我們完成一項任務，需要訪問資源a一，相應的操作是oe然后還要訪問a二，相應的操作是o2，然后a3o三等等。這樣這個 一組用戶和他的許可級就構(gòu)成了一種角色。我們再來看一下如何授權(quán)，就根據(jù)具體的任務來定義需要的角色，然后再為角色分配相應的許可。然后最后當一個用戶需要到系統(tǒng)當中來的時候，我們就給這個用戶指定一個角色。

我們再來看一下基于角色的訪問控制與傳統(tǒng)的訪問控制的差別，傳統(tǒng)的訪問控制，用戶直接發(fā)起對資源的一個訪問，然后在這個過程當中，去對他的訪問進行控制，然后基于角色的訪問控制，就在用戶和這個資源也就是客體之間加了一層角色，用戶要訪問資源，首先你得獲取相應的角色，然后通過這個角色然后再去訪問資源。

基于角色的訪問控制，首先就是根據(jù)任務的需要，去定義許可，然后再來定義角色，在基于角色的防控的模型當中，一個用戶可以獲取不同的角色，同時一個角色也可以分屬不同的用戶。我們再來看角色和這個客體之間的關(guān)系，這個角色它可以以不同的權(quán)限去訪問不同的客體，同時一個客體也可以被不同的角色所訪問。這里我們總結(jié)一下用戶角色和許可的關(guān)系，用戶和角色是一個多對多的關(guān)系，一個用戶可以授予多個角色，一個角色也可以授予給多個用戶，然后角色和許可也是一個多對多的關(guān)系，每個角色可以擁有不同的多種許可，每個許可也可以授予不同的角色。我們進一步來看許可。許可它是針對某個資源，客體，施加的操作，這個操作和客體也是多對多的關(guān)系，每一個操作可以施加于多個客體，同時每個客體也可以接受多個操作。

現(xiàn)在我們來看一下基于角色訪問控制的實例，一個銀行系統(tǒng)，在銀行當中有多種不同的角色，包括出納員、分行管理者、顧客、系統(tǒng)管理員和審計員，授權(quán)的時候，出納員就被授予了允許修改顧客賬號記錄的權(quán)限。所以當顧客在銀行里面需要進行開戶或者銷戶的操作的時候，出來員就不具備這樣的權(quán)限了。所以通常他會請求分行管理者來給他授予權(quán)限或者來進行操作，而顧客僅僅允許查詢自己的賬號，而系統(tǒng)管理者他允許開關(guān)系統(tǒng)，但不允許讀取或者修改用戶的賬戶信息，而審計員允許讀系統(tǒng)當中任何的數(shù)據(jù)，但是不允許做出任何的修改。

基于角色的訪問控制策略當中的角色，它是可以繼承的。這樣的話可以避免角色權(quán)限的重復設(shè)置，我們就可以基于已有的角色，來創(chuàng)建新的角色，然后來減少這個角色設(shè)置的工作。這個基于繼承的角色，它可以有自己的許可，可以繼承其他角色的許可，這樣就可以用祖先的這種關(guān)系來表達繼承，角色二是角色一的子角色，它就可以繼承角色一的部分許可。

這里我們看一下醫(yī)院當中的這樣一個場景，醫(yī)院當中也是有不同的角色，比如實習醫(yī)生、醫(yī)生、專家，然后就是具體科室的專家，心臟病專家、風濕病專家，從上到下，首先來看從下到上就反映了一種繼承關(guān)系。實習生他的權(quán)限是最小的，可以先定義實習生的角色，然后醫(yī)生就可以從實習醫(yī)生進行繼承，繼承他的許可，然后同時包含自己的特殊的許可，然后專家他又可以進一步繼承醫(yī)生，然后來構(gòu)建這個專家的角色。而具體到不同的科室，心臟病的專家又可以從專家來進行繼承，風濕病專家也是一樣的，所以從下到上就是一種繼承的關(guān)系，如果從上到下的話，實際上就是一種嵌套或者包含的關(guān)系，上面的角色包含了下面角色它的許可。從這個角度來看的話，這個基于角色的訪問控制當中，這個角色，就好比是面向?qū)ο缶幊坍斨械膶ο蟆?/p>

我們再來看角色的管理分配和授權(quán)，這個角色的管理主要由系統(tǒng)管理員來進行管理，包括設(shè)定角色，設(shè)定權(quán)限，然后為用戶分配角色取消角色，然后為角色分配權(quán)限撤銷權(quán)限。

我們再來看角色的激活，系統(tǒng)當中常常有用戶的概念，這個用戶往往是靜態(tài)的，系統(tǒng)當中的活動往往叫做會話，會話就是一個動態(tài)的概念，用戶的一個活躍進程就是會話代表了用戶和系統(tǒng)的交互，會話就構(gòu)成了用戶到角色的這樣一種映射，也就是說會話可以實現(xiàn)這個用戶靜態(tài)的概念到角色這樣一個動態(tài)概念的映射，然后在會話當中去分配角色，然后通過會話去激活用戶授權(quán)角色集當中的某個子集，活躍角色集。剛才看到我們這個用戶他可以獲得多個角色，也就是說他獲得的角色可能是一個集合，但是在具體的任務當中可能只有某些這個集合當中的子集或者部分，它是活躍的，這個叫做活躍角色肌。

我們再來看角色的限制，角色的限制主要有兩種，一種是互斥，一種是基數(shù)限制。

我們首先看角色的互斥，角色的互斥就是兩種角色，不能同時由一個用戶擔任。對于系統(tǒng)當中一些特定的操作級，某一個用戶不能同時獨立的完成所有這些操作，就把這些操作可以授予不同的角色，然后讓這些角色進行互斥，這個時候這些角色就不能同時的授予同一個用戶，從而避免這個用戶同時完成這些操作。比如現(xiàn)實生活當中，我們經(jīng)常說一個人不能既擔任運動員，又擔任裁判員，這個運動員和裁判員，他就是角色互斥的。另外就是角色的激素限制，在創(chuàng)建角色時要指定角色的基數(shù)，也就是說這個角色可以授予的用戶的數(shù)量，在一個特定時間段內(nèi)只有些角色只能由一定數(shù)量的用戶所占有，這個就是基數(shù)。比如一個班級之內(nèi)的話，選舉班干部，一個班只能有一個班長，但是可能可以設(shè)一個到兩位的副班長，然后還有其他一些生活委員，然后體育委員等等，都可以設(shè)置一定的數(shù)量，比如說體育委員生活委員等等只有一個人，這個就是激素。

我們再來看基于角色的訪問控制策略它的特點，首先就是可以通過角色的定義，分配設(shè)置，可以描述比較復雜的靈活的安全策略，然后通過角色分成可以映射組織結(jié)構(gòu)，現(xiàn)實生活當中的組織結(jié)構(gòu)通常都是分層的這樣一種結(jié)構(gòu)，也可以讓角色通過前面講的繼承，然后體現(xiàn)這樣一種分層結(jié)構(gòu)。然后另外就是容易實現(xiàn)最小特權(quán)原則，最小特權(quán)原則是信息安全當中的一個重要的原則，就是讓用戶只擁有完成他任務所需的最小權(quán)限。在設(shè)置角色的時候，我們就給角色分配他所要完成任務所需的最小的權(quán)限，從而就可以實現(xiàn)最小特權(quán)原則。另外基于角色的訪問控制，能夠滿足職責分離的原則，通過角色互斥，可以實現(xiàn)用戶的職責分離。然后另外可以通過角色的基數(shù)，然后來進行這個崗位上面用戶數(shù)量的一個限制。

這里是基于角色的訪問控制策略的具體的系統(tǒng)結(jié)構(gòu)。這個系統(tǒng)結(jié)構(gòu)主要分成兩大模塊，其中這個系統(tǒng)管理模塊負責為角色進行這個定義，用戶分配，然后角色與許可之間的分配，然后許可內(nèi)部這個操作和這個具體客體的這樣一種定義。然后會話管理模塊就負責生成一個會話，在會話當中去對用戶角色進行分配，激活角色。

最后我們再來看一下基于角色的訪問控制系統(tǒng)它的運行步驟，首先就是用戶登錄，登錄的時候，系統(tǒng)對用戶的身份進行認證，獲取用戶的身份信息。然后第二步就根據(jù)用戶的身份信息，去檢索授權(quán)的角色庫，然后會話管理模塊就從基于角色的訪問控制策略數(shù)據(jù)庫當中去檢索用戶授權(quán)的決策及并返回給用戶。然后第三就是根據(jù)本次用戶的這個任務或者說會話，然后選擇他的活躍角色級，然后這個期間會話管理模塊會維持一個動態(tài)的角色互斥，接下來就創(chuàng)建會話通過，在會話當中去體現(xiàn)訪問控制授權(quán)。第四步創(chuàng)建會話，根據(jù)用戶的角色在會話當中去體現(xiàn)授權(quán)，通過菜單按鈕，比如說當前這個用戶他的權(quán)限可以執(zhí)行什么樣的操作，就可以讓相應的菜單按鈕可見可操作，而用戶不具有的權(quán)限，這些菜單按鈕就不可見或者不可操作。第五步在會話的過程當中，系統(tǒng)管理員若要更改用戶角色或者許可，就必須要在會話結(jié)束之后或者終止會話之后才能夠進行，然后最后就是會話結(jié)束，用戶退出系統(tǒng)。

原創(chuàng)聲明

=======

作者： [ libin9iOak ]

本文為原創(chuàng)文章，版權(quán)歸作者所有。未經(jīng)許可，禁止轉(zhuǎn)載、復制或引用。

作者保證信息真實可靠，但不對準確性和完整性承擔責任。

未經(jīng)許可，禁止商業(yè)用途。

如有疑問或建議，請聯(lián)系作者。

感謝您的支持與尊重。

點擊下方名片，加入IT技術(shù)核心學習團隊。一起探索科技的未來，共同成長。文章來源地址http://www.zghlxwxcb.cn/news/detail-516171.html

到了這里，關(guān)于《計算機系統(tǒng)與網(wǎng)絡安全》 第八章 操作系統(tǒng)安全基礎(chǔ)的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！